- Ciberatacantes avisan que podrían publicar en línea supuesta información interna de la petrolera. Piden 568 bitcoins.
México. Carlos Macías (CIESAS). La mañana del martes 25 de febrero, los editores del sitio web de noticias Bleeping Computer recibieron por vía electrónica información y testimonios acerca de los planes del grupo que está detrás del cifrado y robo de información de los archivos que, en apariencia, Pemex mantenía en su red.
Para verificar la información, revisamos con cuidado el sitio. Bleeping Computer es una plataforma especializada en noticias sobre seguridad de información y de tecnología, que fue creada en 2004. Aunque no encontramos referida la sede en que es editada, parece contar con la seriedad y el profesionalismo suficientes, como para verse beneficiada por millones de visitantes cada mes, según se nos confía en la sección “About us”.
En abono de su credibilidad, leemos que Bleeping Computer es el “primer sitio de noticias que se agrega como socio al proyecto No More Ransom, que trabaja una alianza entre el Centro Europeo de Delitos Cibernéticos de Europol, la Unidad Nacional de Delitos de Alta Tecnología de la Policía de los Países Bajos y la compañía McAfee”, para combatir el ransomware.
El antecedente
Vale recordar que los archivos de Pemex fueron afectados, al parecer, el 10 de noviembre de 2019 con Doppel Paymer, un ransomware enfocado a comprometer redes de empresas.
Los atacantes (que llamaremos grupo Doppel Paymer) han lanzado este 25 de febrero un sitio web en versión beta, y lo han titulado Dopple Leaks.
No sería extraño, por tanto, que Pemex se mantenga en el centro de noticias relevantes -infortunadamente- en las próximas semanas/meses.
Y no tanto por los resultados futuros de las calificaciones calendarizadas de Moody’s o de Standard & Poor’s, que por sí mismas representarían un apuro distinto, no más halagüeño. No. Dopple Leaks ha amagado con convertir su sitio beta en un sitio abierto, público, para dar a conocer bases de datos internas de Pemex, por no pagar un rescate.
Como señaló en su momento el diario mexicano El Universal, en nota de Noé Cruz Serrano, la Base de Datos Institucional (BDI) que opera Pemex no se encuentra disponible por internet desde al menos un par semanas previos al ataque.
Si uno intenta acceder al subdominio de la BDI, éste se encuentra fuera de servicio (“404 Not found”), pero al parecer la petrolera ha procurado mantener a consulta pública la información acerca de las refinerías, por medio de un dominio privado alterno: datamx.io, impulsado por la comunidad de Datos abiertos de México.
¿Cómo actúa el ransomware?
Lo primero que hace es obtener acceso a las credenciales del administrador (mediante archivos adjuntos), y luego implementa sus funciones en la red para cifrar todos los dispositivos enlazados.
El método para infectarlos consiste en lograr que algún o algunos usuarios de los equipos corporativos abran archivos adjuntos en correos electrónicos, que a su vez desaten y propaguen el ransomware. Mediante tales ataques, la intrusión se vuelve capaz de cifrar cientos, miles, de dispositivos de la red intercomunicada.
El grupo atacante trabaja con el ransomware Doppel Paymer, uno de los más activos y dañinos de esa familia, a la que también pertenecen Sodinokibi y Nemty.
Aunque Pemex no fue el único corporativo a cuyos equipos se les introdujo el ransomware, sí parece ser el que permanece más apetitoso para los audaces anónimos.
También horadaron sistemas de otras empresas más pequeñas (una estadounidense, una francesa y una sudafricana), que han merecido menor atención por parte de los ciberdelincuentes, debido al menor tamaño y relevancia de sus bases de datos. A esas empresas sólo les exigen a cambio de la liberación, respectivamente, entre 15 y 50 bitcoins. A Pemex, en cambio, 568.
Estrategias cada vez más audaces
De acuerdo con Lawrence Abrams, un editor del sitio que dio a conocer la noticia del mensaje (Bleeping Computer), los atacantes señalan que Dopple Leaks “está en ‘modo de prueba’ y que actualmente lo utilizan para avergonzar a sus víctimas y amagar con la publicación de algunos archivos robados.”
Tradicionalmente, las demandas de los ciberatacantes consistían sólo en negociar el rescate y proceder luego a desencriptar lo que ellos habían codificado de modo remoto.
Con Pemex, la estrategia ha sido más audaz. Se han sofisticado. Han inaugurado un método de extorsión (con Doppel Paymer) que apenas se había visto en la víspera con Maze (otro ransomware), y que consiste en extraer por anticipado la información de los archivos, valorarla, y después proceder a su encriptación.
Ello les da ventaja para el chantaje en función de lo que encuentren: “calidad” y “confidencialidad” de las bases de datos.
Y parece que han encontrado sustancia en Pemex, porque el editor del sitio que recibió la información enviada por los ciberatacantes asentó lo siguiente:
“De todos los sitios (fueron cuatro empresas), Doppel Paymer nos dijo que sólo robaron una gran cantidad de archivos ‘aún sin clasificar’ de Pemex”.
Y para presumir, los atacantes mostraron dos imágenes a las que obviamente les velaron el nombre del dominio (la cadena URL), donde dejaron ver dos carpetas comprimidas (zip) asociadas con las actividades de Pemex: una con el nombre de “Configuraciones” y otra con el de “Bombas”. ¿Qué contendrán? [ver imagen de portada].
¿Qué sigue?
Si los corporativos atacados no pagan un rescate -destaca Bleeping Computer-, los operadores de ransomware amagarán con liberar archivos robados con daño a terceras partes, para propiciar que la víctima sea sujeta a multas gubernamentales y otras derivadas de agencias y convenciones internacionales, además del riesgo permanente que representa que se les denuncie como responsables de la violación de datos.
¿A quién beneficia tipificar el ataque como “violación de datos”?
Desde nuestro punto de vista, el camino que sugiere el sitio que reveló esta información (Bleeping Computer) pone en situación incómoda a las empresas que son víctimas de la intrusión (como Pemex), porque sugiere interpretar estas pérdidas en función de la responsabilidad corporativa hacia los datos perdidos de las personas y de las empresas afectadas.
Subraya el editor:
“Bleeping Computer ha declarado en repetidas ocasiones que los ataques de ransomware deben tratarse como violaciones de datos.”
Para este sitio web, los atacantes de ransomware la pasan revisando y robando los archivos de las víctimas, antes de proceder con la encriptación de las computadoras, y luego amenazan con darlos a conocer.
“No sólo se están robando datos corporativos -alerta Bleeping Computer-, sino también datos de proveedores y clientes y la información personal de los empleados.
La transparencia es más importante ahora que nunca; ocultar estos ataques pone a los usuarios y empleados en riesgo a largo plazo, ya que sus datos están expuestos al robo de identidad y al fraude”.
¿Qué compañías no pagaron el rescate?
Son cuatro:
• Una pequeña, con sede en Estados Unidos (se dedica a administrar cuentas comerciales). Le pidieron 15 bitcoins.
• Una con sede en Francia, dedicada a ofrecer servicios de hosting corporativo y gestión de telecomunicaciones. Le pidieron 35 bitcoins.
• Una sudafricana, dedicada a la logística. Le pidieron 50 bitcoins.
• Y, finalmente, Pemex, atacada el 10 de noviembre de 2019. Le pidieron 568 bitcoins.
Al día de hoy, cada bitcoin se cotiza en 9,150 dólares, lo que representaría para Pemex 5,2 millones de dólares.
¿Accederá a pagar Pemex?, ¿cederá ante el amago?
¿Qué nos espera con esta nueva casta de atacantes?
El tema de los posibles ataques cibernéticos en México despierta notable sensibilidad ahora, porque apenas en mayo del 2018 el sistema de transferencia electrónica interbancaria nacional (SPEI) había detectado la intrusión de ciber atacantes que vulneraron la plataforma, no del SPEI -por fortuna-, sino de los programas de interface que enlazaban a dos o tres instituciones bancarias hacia el SPEI. (Véase nuestra nota al respecto).
En la actualidad, los intentos para explotar eventuales vulnerabilidades en las plataformas corporativas no son una excepción, parecen parte de la normalidad.
Debemos entender que el acceso en línea a las operaciones financieras y a los servicios corporativos despierta apetitos renovados, a la vez que pone en juego recursos técnicos que están en manos de los actores primarios y secundarios de la innovación, por lo que subyacen fincados en el anonimato lo que podríamos definir como una nueva casta de atacantes cibernéticos, quienes desde luego son entendidos en codificación y en sistemas de seguridad.
Probablemente los participantes no son otros, sino los propios colaboradores en el desarrollo de códigos para redes emergentes.
Los conocedores de la nueva economía -los actores emergentes-, que han crecido con ésta, parecen convivir con ellos, lidian con sus intrusiones y les ponen cada vez grados más difíciles de superar.
Ahora también para detectar agujeros tanto en la seguridad de la red, como en cada paquete novedoso de software, parece emerger una política previa de recompensas, un presupuesto predefinido.
El camino parece haberlo abierto la criptoeconomía, curtida ya por algunas malhadadas experiencias, como la que representó en su momento TheDao, de Ethereum.
¿Cuéntanos qué opinas?
Fuentes: Bleeping Computer, Cibersecurity Insiders, El Universal México, Pemex.
[Nota: Bleeping Computer maneja el nombre, invariablemente, como Doppel y Dopple. Entendemos que por error.]